기본분류

[취재수첩] ‘금융앱스토어’, 제2의 공인인증서 논란

이유지 기자
[디지털데일리 이유지기자] 금융결제원이 ‘금융앱스토어’ 서비스를 시작한 것을 놓고 시끌벅적하다. 사실 ‘금융앱스토어’에 대한 비판의 목소리가 높다.

‘금융앱스토어’는 국민·우리·신한 등 국내 17개 은행의 스마트폰 뱅킹 등 금융서비스 앱을 한 곳에서 내려 받을 수 있는 전용 앱스토어로, 지난 23일부터 서비스를 시작했다.

금결원은 여기에서 안전성이 검증된 금융 앱을 내려받도록 제공해 모바일 금융서비스 이용자를 노리는 위·변조된 가짜 앱인 이른바 ‘피싱 앱’ 설치를 차단하겠다는 취지로 개발했다. 한마디로 ‘보안’을 위해서다.

동시에 이 서비스는 금융사 앱 관리 업무 부담을 줄여준다는 측면도 있다. 금결원 자신의 업무 범위를 확장하기 위한 노력으로 볼 수도 있다. 금결원은 ‘금융앱스토어’를 통해 앱의 무결성과 악성코드 감염 여부를 검증하는 동시에 구글 플레이 등 기존의 앱 마켓도 모니터링함으로써 피싱 앱 출현에 대응할 계획이다.

그런데 이 서비스는 되레 안성 문제가 먼저 도마에 올랐다. 이 앱을 다운받는 사이트의 페이지가 보안에 취약하고, 설치할 때 ‘알 수 없는 소스’를 허용토록 유도해 오히려 이용자 단말의 보안위험을 부추긴다는 지적이 나왔다. 금융 앱을 모아놓은 통합 앱스토어가 오히려 피싱에 악용될 수 있고 공격 표적이 될 수 있다는 우려도 제기됐다.

금융결제원은 제기되고 있는 보안위협 문제가 과장됐다며 관련 대책과 해명을 내놓고 서비스 취지를 알리고 있다.

그러나 이같은 문제를 지적한 오픈과 경제정의실천시민연합 소비자정의센터는 지난 26일 성명을 내고, “금융앱스토어 즉각 폐기”를 촉구했다.

‘금융앱스토어’ 의 안전성 등 여러 문제와 비판이 나오는 기저에는 자칫 이 앱스토어 이용을 강제, 의무화할 것이라는 인식에 있다. 좀 단순하게 표현하면 ‘공인인증서’ 트라우마다.

사실 은행이 출연해 만든 사단법인인 금융결제원이 이 서비스를 강제할 수는 없다. 물론 금융위원회가 도와준다면 다르다.

일단 금융위원회측은 향후 금융앱스토어만 이용할 것을 금융사에 강제·의무화할 방침을 묻는 질문에 “은행의 선택 사항”이라며, “(강제·의무화하기 위해) 법이나 제도로 만들지는 않을 것”이라는 입장을 내놨다.

금융위의 이같은 방침이 사실이라면, ‘금융앱스토어’에 대한 비난의 화살이 좀 과하다는 생각이다. 제대로 운영만 된다면, 이용자들이 보다 안전하게 피싱 앱을 선택할 수 있는 하나의 채널로 볼 수 있기 때문이다.

금융결제원이 이 서비스를 발표하면서 “국내 은행들이 고객에게 제공하는 뱅킹앱의 유통 창구를 금융앱스토어로 단일화”한다고 했던 것이 이같은 논란을 부추긴 점도 없지 않다고 본다.

이번 논란은 지난 2010년 사회적 쟁점으로 부상했던 공인인증서 의무화 논란의 연장선이다. 당시 스마트폰 열풍과 함께 스마트폰 뱅킹이 빠르게 확산될 조짐을 보이자 금융감독원이 스마트폰에서도 PC처럼 공인인증서를 사용토록 규정한 스마트폰 전자거래 안전 대책을 마련하면서 거센 비판에 부딪혔다.

결국 정부와 관계기관은 여러 논의를 거쳐 공인인증서 이외에 다른 인증방식도 허용할 수 있도록 했다. 공인인증서만을 전자거래 인증 수단으로 사용토록 해온 규제가 풀린 것이다.

그러나 아직까지 인증방법의 안전성 기술평가기준을 충족해 허용된 새로운 인증 방법은 제도가 마련된 지 2년이 훨씬 넘도록 나오지 않았다.

법적 규제는 일정 수준으로 풀렸지만 실상 이용자들이 체감할 수 있게 달라진 점이 전혀 없는 상황이다.

3년이 지나 다시 논란이 커졌다. 최근의 논란을 보며, 이제는 정말 많은 이용자들이 ‘공인인증서’를 비롯해 인터넷뱅킹에 접속하면 반드시 내려 받아야 하는 다양한 보안 프로그램에 진저리를 치고 있다는 것을 알 수 있다. 오랜 기간 인터넷뱅킹 서비스가 마이크로소프트 윈도 운영체계만 지원하면서 윈도와 ‘액티브엑스’ 방식의 특정 보안 기술만을 사용토록 해온 것에 이용자 거부감이 고도로 치달았다.

정부당국이 아무리 뭔가를 강제하지 않을 것이라고 해도 이미 신뢰성은 바닥에 떨어져 있다.

1997년 전자서명법이 시행되면서 공인인증서 서비스를 시작되던 때와 지금은 IT·보안 환경이 크게 바뀌었다.

PC·모바일 기기 등 단말과 운영체계 이용 환경이 이미 다양화됐고, 보안위협 보다 지능적으로 변모하는 시대에서 기존의 획일적이고 중앙집중적으로 통제하는 보안 방안은 적합하지 않은 것이 사실이다.

단말기와 IT 기술이 급격히 발전하면서 보안위협도 기하급수적으로 늘었다. 공격 대상은 물론, 보안위협 자체도 이용자들을 속이거나 모르게 하는 식의 교묘하고 지능적으로 변모했다.

최근의 방송사·금융사 3.20 사이버공격에서도 알 수 있듯이, 공격자들은 성공률을 높이기 위한 최상의 방법을 찾아내 이용한다.

비판이 되는 보안 방식, 집중화돼 있고 통합된 구조는 공격 타깃이 될 가능성을 높이는 것도 사실이다. 공격자의 관심을 분산시키는 방안이 필요하다.

계속되는 논란과 비난, 또는 오해를 잠재우거나 풀 수 있는 방안, 신뢰를 회복할 방안은 정부당국의 전향적 자세와 실행이다. 예를 들면 금융사들과 민간업체들이 새로운 인증방법을 적극 개발, 빠르게 적용할 수 있게 지원하는 것도 한 방법일 것이다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널